MPlayer

Az FrSirt szerint olyan buffer overflow hiba van az MPlayer-ben, amelyet kihasználva, a támadónak tetszőleges kódfuttatásra nyílhat lehetősége. A biztonsági oldal a rizikót magasnak ítéli. A hiba a leírás szerint távolról és helyileg is egyaránt kihasználható. A felfedezője a saját bejelentésében azt állítja, hogy értesítette az MPlayer csapatot, de az nem reagált a hibára.Szerinte augusztus 10-én fedezte fel a hibát, majd 16-án kapcsolatba lépett a vendorral (ez esetben az MPlayer fejlesztőkkel). Ezzel egy időben publikálta a hiba leírását. Mivel állítása szerint augusztus 24-ig nem kapott visszajelzést a fejlesztőktől, elküldte az infót a full-disclosure listára.

A probléma a felfedező bejelentése szerint érinti az MPlayer 1.0_pre7 és korábbi verziókat is (pontosan a bejelentésben). Az MPlayerHQ-n nincs infó a hibáról, csak a dev-eng listán jelzi egy szál, hogy a fejlesztők valamilyen módon tudnak a dologról.

Az MPlayerHQ-t erintő hiba után indult szerver gyűjtési akció sikeresen zárult.
Most szeretnénk köszönetet mondani mindenkinek az adományokért. Sokkal erősebb gépet sikerült rendelnünk, mint gondoltuk.

Az adományozók listája (kivéve aki kérte, hogy ne szerepeljen) itt.

Aki a nemzetközi bankszámlára utalt, kérem nézze át a listát, mert lehet, hogy kinn szerepel a neve, annak ellenére, hogy nem kérte, vagy éppen hiányzik. Ez a banki átutalás hibája. Kérlek írjatok levelet nekem (al3x), ha bármi hibát észleltek.

Bővebben a honlapon.

Először is szeretném megköszönni az adományokat az MPlayer szerverhez, de egy apróbb gond lépett fel, amiről nem tudtam.Csak kicsi késéssel került fel magyar számlaszám az oldalra, előtte csak egy nemzetközi számlaszám volt, ami euro alapú.

Sokan utalnak 1000 forint körüli összeget valamilyen okból a nemzetközire, ahol forintról euro-ra konvertálódik, aminek minimum 5 euro a díja.

Számoljunk csak: 1000 forint kb. 4 euro, a díj 5 euro, marad -1 euro, tehát fizettem kb. 250 forintot. Most ebbe nem fogok tönkremenni, nem is ezért írok, hanem, hogy tájékoztassalak titeket, hogy ne utaljatok oda forintot, mert csak a bankokat tamogatjuk vele! Erről nem tudtam, és őszintén nem is számítottam rá, hogy sokan fognak Magyarországról pénzt küldeni, ugyanis az FSN tégla projekt is nemrégiben zárult le, amire rengeteten adakoztak.

Kérlek használjátok a magyar számlaszámot, mert az jócskán olcsóbb és kis összegnél (mondjuk 500 forint, ha bankok belül utalják) is "megéri".

És megegyszer köszönet, rengeteg támogatás érkezett, mostmár nem csak vagy egy olyan gép amit célul tűztünk ki, hanem valóság.

Figyeljétek az oldalt.

Mint az ismert, az MPlayerHQ szerverében légkondícionálási hiba miatt megmelegedtek a merevlemezek, aminek a CVS repó és a levlista egyes részei itták meg a levét. Az MPlayer projekt most új hosting után néz. A felajánlott új helyen gyorsabb kapcsolat várja a szervert, de csak 1 U magas gépet tudnak elhelyezni. A jelenlegi midi-ATX nem éppen 1 U, ezért a projekt gyűjtést rendez, amelynek célja egy új szerver beszerzése.

Mire lenne szükség?Két lehetőség van:

- vagy egy 1 unit magas szerver, és annak elhelyezése a felajánlott helyre

- vagy valaki felajánl egy szervert és egy hosting helyet

A projekt gyűjtött egy kis pénzt a LinuxTag-on a költségekre, de összesen 70 euró marad belőle, amiből maximum egy merevlemezt lehet venni. Szóval aki segíteni akar pénzzel vagy konkrét hardverrel az most megteheti.

Milyen hardver konfiguráció kellene?

- 1U magas ház (ez a legfontosabb)

- dual 1GHz vagy single 2GHz CPU

- 1GB RAM

- 2x 200GB HDD RAID-1-ben, legjobb a SATA lenne

- megbízható backup megoldás (mondjuk 3x300GB HDD egy másik szerverre történő backup-ra)

Pénzzel is segíthetsz. Támogatási lehetőségek a projekt honlapján.



A támogatás állásáról havonta adnak számot a projekt tagjai. Kérdést feltenni az mplayer-dev-eng listán, irc-n, vagy privátban lehet.

Bővebb infó az MPlayerHQ-n.

Úgy tűnik, hogy az MPlayerHQ oldalt kiszolgáló gép filerendszere összekuszálódott. A hiba érinti a -cvslog és -dev-eng levlisták adatbázisait és a CVS repository-t is.A szerverszobában, ahol a gép lakik, péntek óta nincs légkondícionálás, a merevlemezek túlhevültek és meghibásodnak...

Bővebben al3x blogjában, itt és itt.

Megjelent az MPlayer 1.0pre7-es verziója. A bejelentés szerint kevesebb benne az újdonság, mint a pre6-ban volt, de ami van, az érdekesebb. A honlap szerint ezentúl gyakrabban várhatók kiadások...

Újdonság, hogy ezentúl a mencoder-rel tudunk MPEG kimenetet is készíteni, így nincs akadálya az (S)VCD-k és DVD-k készítésének.Számos új codec is felbukkant a kiadással egy időben. Vannak natív codec-ek, mint például a ALAC (Apple Lossless Audio Codec), de binárisok is, mint például a TwinVQ (VQF) és VMware video lejátszáshoz szükséges anyagok. Érdemes letölteni az új codec csomagokat.

A kiadás ezen kívül javít két komoly biztonsági hibát is (távoli kódfuttatás az MPlayert indító felhasználó nevében), így mindenképpen érdemes frissíteni!

A bejelentés és letöltés az MPlayerHQ-n itt.

Diego Biurrun - az MPlayerHQ site karbantartója - tegnap egy rakás biztonsági figyelmeztetést tett közzé. A négy sebezhetőség közül kettő kritikus, így érdemes frissíteni.- PNM streaming buffer overflow vulnerabilities

- RTSP streaming heap overflow vulnerability

- MMST streaming stack overflow vulnerability

- vulnerability in the bitmap parser

Mint Diego írja a tegnap általa publikált hibák régen ismertek és javítottak, csak lusta volt eddig kitenni. Aki már a tavaly december 15-én megjelent MPlayer 1.0pre5try2-t vagy újabbat futtat, annak nem kell frissítenie.

Az MPlayer oldalán egy felhívás olvasható, miszerint a program számos szabadalmat megsért. A csapat szerint hamarosan lehúzhatják a rolót...

Még a múlt héten újra kiadták az MPlayer 1.0pre6-ot. A kódban semmi változás, csak a HTML doksi maradt ki.

5 hónap szünet után tegnap megjelent az MPlayer 1.0pre6 verziója. A ChangeLog jó hosszú, megtekinthető az MPlayer honlapján.